Eu criei um script para criar contas de usuário em AWS Organizations.
Agora, estou tentando automatizar a exclusão de contas de usuários temporárias em 30 minutos?
Quais poderiam ser as possíveis soluções? Posso trabalhar em RESTAPIs, Lambda, CloudFormation.
O processo manual existe, mas estou tentando conceder acesso de teste aos usuários por 30 minutos
Responder1
Você pode invocar o Lambda com logs do Cloudwatch.
Dessa forma, você pode acionar uma função AWS Lambda para remover o usuário 30 minutos após a atividade desse usuário ser detectada nos logs do Cloudwatch (por exemplo, a criação de um recurso).
https://docs.aws.amazon.com/lambda/latest/dg/services-cloudwatchlogs.html
Se não fosse possível identificar uma ação do usuário no Cloudwatch, você poderia encadear IAM -> Cloudtrail -> S3 -> Lambda para invocar a rotina de exclusão. Isso envolveria um pouco mais de esforço, pois sua função Lambda precisaria ser capaz de ler o log do Cloudtrail e identificar o usuário.
Responder2
A AWS não fornece uma API para encerrar uma conta da AWS.
A única maneira de encerrar uma conta é por meio da interface do usuário da web.
Para conseguir o que deseja, o mais próximo seria manter disponível um conjunto de contas vazias. Use um quando necessário. Quando terminar, use as APIs para esvaziar a conta e devolvê-la ao pool.
Anedota Pessoal
Na minha experiência, fechar uma conta foi ainda mais complicado do que isso. Para encerrar uma conta aberta em uma organização, precisei fazer o seguinte:
- Remova a conta da AWS da organização.
- Forneça um número de cartão de crédito para a conta.
- Feche a conta.
Referências: